Wojciech Krzemiński
Zagrożenia w sieci są coraz wyraźniej dostrzegalne przez producentów samochodów. Nic w tym dziwnego, skoro już teraz ich produkty łączą się ze smartfonami użytkowników i mogą być zhakowane.
Tym razem jednak nie chodzi o same auta. Pewien haker uzyskał dostęp do 14 tysięcy kont e-mail Toyoty – i nie tylko. Złamał zabezpieczenia w stosunkowo prosty sposób. Uzyskał dostęp do licznych, poufnych informacji, które nie powinny być dostępne dla ludzi z zewnątrz.
Warto w tym miejscu podkreślić, że owym hakerem nie jest osoba o złych zamiarach. To Eaton Zveare, który poinformował japońskiego producenta o lukach w ochronie dostępu. Jego działanie miało więc pozytywne skutki.
Tysiące poufnych informacji Toyoty w rękach hakera
Mężczyzna wykorzystał token JSON WEb i JWT. Wyszukał pracowników odpowiedzialnych za łańcuchy dostaw wpisując klasyczny format mailowy: imie.nazwisko@toyota.com. Brzmi banalnie, ale to wystarczyło.
Następnym krokiem było znalezienie konta z uprawnieniami administratora i powtórzenie procesu, by uzyskać dostęp do tysięcy innych maili, dokumentów projektowych, rankingów, opinii i poufnych informacji.
„Regularnie testujemy nasze systemy, a także prowadzimy skoordynowany program ujawniania informacji, aby umożliwić badaczom bezpieczeństwa zgłaszanie luk w zabezpieczeniach. Doceniamy badania przeprowadzone przez firmę Eatona” – stwierdził Corey Proffit, starszy menadżer do spraw komunikacji w Toyota Connected.
Producent nie zamierzał jednak wynagrodzić hakera za jego działania. I rozumiemy jego stanowisko. Żeby wskazać zagrożenie, musiał przecież doprowadzić do włamania. Nigdy też nie wiadomo, co zrobił z danymi, które uzyskał.
Krótko mówiąc, sieć może być bardzo niebezpieczna dla osób przekazujących sobie cenne informacje. Toyota zlikwidowała luki w zabezpieczeniu i ma teraz jeszcze lepszą ochronę danych, niż dotychczas.
Czy to wystarczy? Trudno jednoznacznie stwierdzić. Istnieje spora grupa nieuczciwych hakerów, którzy włamują się, pobierają dane i sprzedają je konkurencji lub podmiotom wykorzystującym uzyskane informacje w sposób daleki od uczciwego. Zabezpieczenia są więc koniecznością, ale nie jest tajemnicą, że coś wymyślone przez człowieka, może być także złamane przez innego człowieka.
